Избранное: ссылки по IT безопасности

Давно хотел написать подобный пост с подборкой полезных ссылок, так как очень часто спрашивают подобное (думаю, у многих, кто в этой (да и в других) сфере). Ссылки разбиты на категории.

OWASP

OWASP — самый крупный портал по безопасности веба. Собрана информация о всевозможных атаках, векторах, гайдах по пентесту и многое другое. По нему можно сделать отдельную выборку ссылок:

www.owasp.org/index.php/Top_10_2013-Top_10 — топ 10 атак на веб-приложения в 2013 году
https://www.owasp.org/index.php/Category:OWASP_Download — загрузки. Обычно по ресурсу сразу проходятся — dir buster’ом
www.owasp.org/index.php/Web_Application_Penetration_Testing — гайд по пентесту. В виде PDF
www.owasp.org/index.php/Testing_Checklist — Чеклист (черновик)

Эксплойты

Сайты, где собрано множество различных эксплойтов (программ/техник автоматизирующих использование уязвимости)

Форумы

Bug Bounty

Многие сайты платят за уязвимости на своих сайтах

blog.nibblesec.org/2011/10/no-more-free-bugs-initiatives.html — список BugBounty программ
bugcrowd.com/ — площадка, где можно выставить свой сайт на пентест (временно) или поучаствовать в таком, получая за каждый баг деньги. Сейчас прошло что-то уже около 30+ таких пентестов.

Сборники уязвимостей на сайтах

xssed.com — сборник в основном XSS уязвимостей (самый первый ресурс в этой сфере)
bugscollector.com — любые уязвимости
www.vulnerability-lab.com/show.php?cat=website

Capture the Flag

Соревнования по безопасности. Задачи участников или решать выданные им задачи, или взламывать & защищать друг друга

ctftime.org — центральный сайт с расписанием различных CTF в мире, рейтингом команд, врайтапами и т.п.
pentestit.ru — Лаборатория тестирования на проникновение. Тоже проводит конкурсы в стиле CTF. Кстати, они будут организовывать у нас, на ZeroNights, свою лабораторию. Любые желающие смогут попробовать свои силы в её взломе 🙂

Взлом WiFi

www.aircrack-ng.org/doku.php?id=simple_wep_crack — взлом WEP
www.aircrack-ng.org/doku.php?id=cracking_wpa — взлом WPA/WPA2 (подбор паролей)
habrahabr.ru/company/xakep/blog/143834/ — взлом WiFi через PIN коды
habrahabr.ru/post/122553/ — Подбор паролей к WPA/WPA2 с использованием видеокарты

Разное / WEB

www.idontplaydarts.com/2012/06/encoding-web-shells-in-png-idat-chunks/ — создание png файла с php кодом внутри
pastebin.com/3cznqi8P — создание jpeg картинок с php кодом внутри, которые сохраняют этот php код после функций imagecopyresized() и imagecopyresampled()
www.exploit-db.com/wp-content/themes/exploit/docs/22763.pdf — гайд по пентесту сайтов на Joomla

Разное / Прикладное ПО

insecure.org/stf/smashstack.html — написание эксплойтов

Разное / Обучение

course.secsem.ru/ — спецкурс «Современная криптография» и «Безопасность приложений» (факультет ВМК МГУ имени М. В. Ломоносова и компании Яндекс)
www.securitytube.net/ — видео-уроки по взлому (практически любая тема)
oisd.sergeybelove.ru/ — мои старые занятия х) есть записи на youtube
www.offensive-security.com/metasploit-unleashed/Msfconsole_Commands — список команд metasploit
www.agarri.fr/docs/HiP2k13-Burp_Pro_Tips_and_Tricks.pdf — советы и трюки по использованию Burp Pro

Security mailing lists

Рассылка на почту о разных уязвимостях

Конференции

Сайты конференций, публикующих презентации / записи докладов своих спикеров. Там бывает столько интересного, что можно неделю на них просидеть.

Предложения в комментариях (особенно про прикладное ПО) приветствуются!

ссылка на оригинал статьи http://habrahabr.ru/company/dsec/blog/200408/

SavePearlHarbor

Ещё одна копия хабора